pfSense snort alert göstermiyorsa!
29 Temmuz 2009 Yazan Bahattin Arıcı
Kategori pfSense
Tüm ayarlarınızı yaptınız. Fakat snort hala uyarı vermiyor. pfSense üzerinden Status > Services üzerinden çalışan servislere bakıyorsunuz orada da problem yok.
Services kısmında snort çalışıyor  gözüküyor. Fakat uyarılar hala yok.
Öncelikle pfSense kurduğumuz makine üzerinden 8. seçenek ile Shell çalıştırıp komut satırına geçiyoruz. snort yazıp enter tuşuna bastığımızda aşağıdaki gibi bir uyarı alıyorsak;
ERROR: Dynamic detection lib /usr/local/lib/snort/dynamicrules//lib_sfdynamic_example_rule.so 1.0 isn’t compatible with the current dynamic engine library /usr/local/lib/snort/dynamicengine/libsf_engine.so 1.10.
The dynamic detection lib is compiled with an older version of the dynamic engine.
Fatal Error, Quitting..
rm /usr/local/lib/snort/dynamicrules/lib_sfdynamic_example_rule.so
komutunu uyguluyoruz. Bu komut lib_sfdynamic_example_rule.so dosyasını silmektedir. Tekrar snort komutunu tekrarladığımızda
bu şekilde uyarı çıkıyorsa problem artık kalmamıştır.
Artık uyarı ve engellemelerimizi yapıyor.
Afiyet olsun 
)
Selamlar,
Snort sorunsuz çalışıyor ve blocklama yapıyor.
Sorun ÅŸu ki ; snort’da skype kuralını aktif ettikden sonra yerel aÄŸdaki A makinası skype açmak istediÄŸinde, skype ile birlikte tüm internet trafiÄŸini blockluyor !..
Oysa A makinasının sadece skype a girişi engellenmek isteniyorsa ne yapılmalı ?
İyi Çalışmalar
Bana soracak olursanız ;
snort’un asıl görevi sadece saldırı tespit ve engelleme.
Dikkat ederseniz kontrol edilecek arayüzü seçerken lan veya wan diye seçiyorsunuz. ÅŸu ÅŸu ipleri seç, bunları bunları engelle diyemiyorsunuz. Snort diyorki : “ben ÅŸu bacaktan gelen senin izlememi istediÄŸin her faaliyeti bulur, görür, içeriÄŸine bakar, engellerim. eÄŸer bu ipler kendilerini düzeltir, saldırı faaliyetlerini keserlerse ben zaten 60dk içinde kara listeden bunları çıkartırım.”
bunun üzerine bizde eğer saldırı veya engellemek istediğimiz içeriği; örneğin skype:
zaten bunu istek yapan ip, port, port numarası tamamını biliyoruz. bunları proxy filter tarafından engelleme yapmamız daha mantıklı olur. bu şekilde gruplandırabiliriz, saat sınırlaması koyabiliriz.
yoksa ddos, attack, exploit veya nasıl saldırılar varsa bunlarla msn veya skype bir tutmanın zaten pek doğru olmadığı düşüncesindeyim.
Merhaba,
Tamamı ile yanlış düşüncedesiniz,
1. Snort kural bazlı çalışan saldırı tespit sistemidir ? Saldırı engelleme sistemi olarak yapılandırmak için snort inline larına ihtiyaç vardır.
2. Snort sana ÅŸunu diyor ; “Ben snort olarak gelen-giden trafiÄŸi inceleyerek benim, senin ve baÅŸkasının yazdığı her kuralı tespit eder ve uyarı veririm”.
Yani sen skype için bir imza yazdığında gelen-giden trafiği dinleyip bu imzaya uyan paketler için mesaj üretirim.
3. Skype 443. porttan çalışır ve ÅŸifreli trafik üretir, baÄŸlantı kurduÄŸu ip aralığı ise cabası. Skype ı engellemek için Squid Proxy Filter yetersiz kalıyor. Bakınız squid (http://wiki.squid-cache.org/ConfigExamples/Chat/Skype) en başına “çalışmasının garantisi” yoktur notu eklenmiÅŸ
4- Yukarıdaki soruya gelince, snort’u herhangi bir unix tüveri veya windows sistemi alıntına kurup test ediniz istediÄŸiniz olayı sorunsuz yapıyor, pfsense’de bu sadece istenilen kurala ait trafiÄŸi engellemek için kural ile biraz oynama yapmak gerekiyor (istemci ve sunucu tarafına rst paketleri gönderip, baÄŸlantıyı sonlandırmak gibi gibi).Snortun pfsense ile gelen inline özelliÄŸini bende henüz test ediyorum.
http://www.net-security.org/dl/articles/Blocking_Skype.pdf
Saygılarımla.